クロスサイトスクリプティング

Webアプリケーションの脆弱性を悪用し、悪意のあるスクリプトをWebページに埋め込む攻撃。XSSと略され、閲覧者のcookieの窃取や偽ページの表示などが行われる。

Webアプリケーションの脆弱性を悪用して、利用者のブラウザ上で不正なスクリプトを実行させる攻撃。攻撃者が仕込んだスクリプトにより、Cookie情報の窃取やセッションハイジャック、偽のページ表示などが行われる。

Webアプリケーションの脆弱性を悪用し、利用者のブラウザ上で悪意のあるスクリプトを実行させる攻撃手法。XSSとも略され、Cookie窃取やセッションハイジャック、偽ページ表示などの被害を引き起こす。入力値のサニタイジングで対策する。

Webアプリケーションの脆弱性を利用して、悪意のあるスクリプトをWebページに埋め込む攻撃。反射型、格納型、DOMベースの3種類がある。対策として出力時のHTMLエスケープ、Content-Security-Policy（CSP）ヘッダの設定、入力値の検証がある。

金融機関やECサイトなど信頼できる組織を装った偽のメールやWebサイトでユーザーを誘導し、IDやパスワード、クレジットカード番号などの個人情報を詐取する攻撃手法。スミッシング（SMSを利用）やスピアフィッシング（標的型）もある。

Webアプリケーションの入力値にSQL文の断片を挿入し、意図しないSQL文をデータベースに実行させる攻撃手法。データの不正取得、改ざん、削除が可能になる。プレースホルダ（バインド変数）の使用やエスケープ処理が主な対策。

大量のリクエストや不正なパケットを送りつけ、サーバやネットワークのリソースを枯渇させてサービスを停止に追い込む攻撃。複数の踏み台から同時に攻撃するDDoS（Distributed DoS）攻撃はさらに防御が困難。

通信を行う2者の間に攻撃者が割り込み、通信内容の盗聴や改ざんを行う攻撃手法。MITM攻撃とも呼ばれ、暗号化されていない通信や、証明書の検証が不十分な環境で成立する。TLS/SSLの適切な運用やサーバ証明書の検証が対策。

特定の組織を標的として、高度な技術を用いて長期間にわたり執拗に攻撃を継続する脅威。初期侵入、権限昇格、内部偵察、情報窃取と段階的に進行する。標的型メール攻撃が侵入の起点になることが多く、多層防御と監視の強化が対策。

ソフトウェアの脆弱性が発見されてからセキュリティパッチが提供されるまでの間に、その脆弱性を悪用して行う攻撃。修正プログラムが存在しない（0日）段階での攻撃のため、従来のパッチ適用では防御できず、IPS等による検知が重要。